南开新闻网讯(通讯员 李士佳)日前,在丹麦哥本哈根举行的第30届ACM Conference on Computer and Communications Security (ACM CCS 2023)上,网络空间安全学院贾春福教授团队的最新成果“PackGenome: 自动生成用于准确检测恶意软件加壳的YARA规则”在会议上进行了报告,受到高度关注。
论文第一作者李士佳,现为团队博士研究生,研究方向为软件安全,目前在网络与信息安全领域顶会已发表论文2篇。
该论文聚焦于现实环境中恶意软件分析流程中加壳程序识别问题,以学术界和工业界在大规模检测加壳程序场景下使用最广泛的YARA工具为平台,提出一种用于高效识别加壳程序的检测规则自动生成方法:将解壳过程相关指令(unpacking routine instructions)作为加壳程序的特征基因指令(packer-specific genes),设计并实现特征基因指令的自动提取方法用以生成加壳程序检测规则,提出并实现提高YARA规则匹配准确率的新方法(工作流程如图1所示)。论文进一步构建加壳程序检测评估体系,在实验数据集和真实恶意软件数据集下对20余种主流加壳程序的识别实验表明,所生成规则的准确率和效果远超过现有公开的加壳程序检测规则。对于后续的相关研究工作具有极为重要的价值。
图1 PackGenome工作流程
ACM CCS与IEEE S&P、NDSS、USENIX Security被誉为网络与信息安全领域四大国际顶级学术会议。该会议创办于1993年,拥有悠久的历史和极高的声誉,一直被视为网络与信息安全领域研究的风向标,近五年平均录取率为17%左右,其收录研究成果代表着当前信息安全研究进展的最高水平,受到学术界和工业界的广泛关注。
|